setfacl を使用して rsync で Apache の再帰権限を作成する

Question

問題 1: Rsync が ACL を削除している

ACL 権限を適用した後、を実行するときに、またはスイッチrsyncのいずれかを使用していることに注意する必要があります。これは、同期を実行するときにこれらを確実に保持するように指示します。-A--aclsrsync

rsync マニュアルページからの抜粋

    -A, --acls                  preserve ACLs (implies -p)

問題2: ACL権限がない

あなたの例を見ると、次のような権限が含まれています。

伝統的なパーマ

# owner: stian
# group: admin
user::rwx
group::r-x
other::r-x

ACL について

default:user::rwx
default:user:www-data:rwx
default:group::r-x
default:mask::rwx
default:other::r-x

しかし、これらの ACL は新しいオブジェクトの作成用であり、思った通りには機能しません。www-dataデフォルトの ACL 権限に加えて、ユーザーのエントリを作成する必要があります。

例

$ pwd
/tmp/somedir

$ mkdir data
$ setfacl -R -d -m u:gopher:7 data

$ getfacl data
# file: data
# owner: root
# group: root
user::rwx
group::r-x
other::r-x
default:user::rwx
default:user:gopher:rwx
default:group::r-x
default:mask::rwx
default:other::r-x

実験

dataそれでは、ユーザーとしてディレクトリにファイルを書き込んでみましょうgopher。

$ sudo -u gopher touch /tmp/somedir/data/afile
touch: cannot touch `/tmp/somedir/data/afile': Permission denied

見覚えがあります？

追加のACL権限の追加

これは、ユーザーに ACL を追加する必要があるためですwww-data。デフォルトのルールはアクセス用ではなく、新しいファイル/ディレクトリを作成するためのものです。

$ setfacl -R -m u:gopher:7 data

ディレクトリをもう一度確認しますdata。

$ getfacl data
# file: data
# owner: root
# group: root
user::rwx
user:gopher:rwx
group::r-x
mask::rwx
other::r-x
default:user::rwx
default:user:gopher:rwx
default:group::r-x
default:mask::rwx
default:other::r-x

gopher唯一の違いは、ユーザーがアクセスできることを示す ACL が存在することですrwx。

user:gopher:rwx

実験を繰り返す

ディレクトリにデータを再度書き込んでみてください:

$ sudo -u gopher touch /tmp/somedir/data/afile
$

うまくいきました!!! 結果のファイルを再確認してください:

$ ls -l /tmp/somedir/data/afile
-rw-rw-r--+ 1 gopher gopher 0 Oct  7 21:36 /tmp/somedir/data/afile

Answer 1

問題 1: Rsync が ACL を削除している

ACL 権限を適用した後、を実行するときに、またはスイッチrsyncのいずれかを使用していることに注意する必要があります。これは、同期を実行するときにこれらを確実に保持するように指示します。-A--aclsrsync

rsync マニュアルページからの抜粋

    -A, --acls                  preserve ACLs (implies -p)

問題2: ACL権限がない

あなたの例を見ると、次のような権限が含まれています。

伝統的なパーマ

# owner: stian
# group: admin
user::rwx
group::r-x
other::r-x

ACL について

default:user::rwx
default:user:www-data:rwx
default:group::r-x
default:mask::rwx
default:other::r-x

しかし、これらの ACL は新しいオブジェクトの作成用であり、思った通りには機能しません。www-dataデフォルトの ACL 権限に加えて、ユーザーのエントリを作成する必要があります。

例

$ pwd
/tmp/somedir

$ mkdir data
$ setfacl -R -d -m u:gopher:7 data

$ getfacl data
# file: data
# owner: root
# group: root
user::rwx
group::r-x
other::r-x
default:user::rwx
default:user:gopher:rwx
default:group::r-x
default:mask::rwx
default:other::r-x

実験

dataそれでは、ユーザーとしてディレクトリにファイルを書き込んでみましょうgopher。

$ sudo -u gopher touch /tmp/somedir/data/afile
touch: cannot touch `/tmp/somedir/data/afile': Permission denied

見覚えがあります？

追加のACL権限の追加

これは、ユーザーに ACL を追加する必要があるためですwww-data。デフォルトのルールはアクセス用ではなく、新しいファイル/ディレクトリを作成するためのものです。

$ setfacl -R -m u:gopher:7 data

ディレクトリをもう一度確認しますdata。

$ getfacl data
# file: data
# owner: root
# group: root
user::rwx
user:gopher:rwx
group::r-x
mask::rwx
other::r-x
default:user::rwx
default:user:gopher:rwx
default:group::r-x
default:mask::rwx
default:other::r-x

gopher唯一の違いは、ユーザーがアクセスできることを示す ACL が存在することですrwx。

user:gopher:rwx

実験を繰り返す

ディレクトリにデータを再度書き込んでみてください:

$ sudo -u gopher touch /tmp/somedir/data/afile
$

うまくいきました!!! 結果のファイルを再確認してください:

$ ls -l /tmp/somedir/data/afile
-rw-rw-r--+ 1 gopher gopher 0 Oct  7 21:36 /tmp/somedir/data/afile

setfacl を使用して rsync で Apache の再帰権限を作成する

答え1

問題 1: Rsync が ACL を削除している

問題2: ACL権限がない

例

実験

追加のACL権限の追加

実験を繰り返す

関連情報